张新刚 王保平 程新党

南阳师范学院计算机与信息技术学院 河南 473061

0 引言

随着互联网技术的快速发展，网络规模日益庞大，网络应用更加复杂多元化，网络安全事件层出不穷，网络安全威胁日益严峻。传统上单一的安全防御手段如Firewall、IDS、VDS等已经无法满足网络安全新的发展需求。网络安全态势评估能够综合分析网络安全的各种态势要素，动态反映网络安全的整体态势，对网络安全的发展趋势进行预测，为网络安全应急响应和主动防御提供了重要支撑。

1 相关知识

态势感知这一概念源于航天飞行的研究，后来逐渐应用于军事战场、空中交通监管等领域。1999年，Bass首次提出了网络态势感知(Cyberspace situational awareness, CSA)的概念，并指出基于数据融合的网络态势感知将成为网络管理的发展方向。态势感知的概念模型由态势要素提取、态势理解和态势预测构成，如图1所示。

图1 态势感知的概念模型

国内外学者纷纷开展了对网络安全态势感知模型的研究。陈秀真等提出了层次化网络安全感知方法，贾焰等开发实现了YHSSAS系统，韦勇等提出了运用D-S证据理论将多源信息融合的网络态势评估方法，王慧强等提出了NSSAS模型。综上，国内外学者提出了很多网络安全态势感知模型，为下一步的研究工作奠定了基础。但同时，上述模型还存在一些不足，例如态势要素获取不全面，无法适应大规模网络态势感知需求等。

2 层次化网络安全态势评估模型

2.1 模型设计

在充分借鉴吸收上述模型优点的基础上，面向多源异构数据和大规模骨干网络安全需求，设计了基于信息融合的层次化网络安全态势评估模型，如图2所示。该模型自下而上由要素提取、态势评估和态势预测三个模块构成。在要素提取阶段，提取来自IDS、Firewall、Snort等多源异类数据，对获取的海量数据进行预处理和数据集成。在态势评估阶段，采用从服务层、主机层到网络系统层的层次化态势评估方法，分别对网络基础运行态势、威胁态势、脆弱性态势和风险态势进行专项态势评估，在此基础上综合分析得到网络安全的整体态势。在态势预测阶段，运用可视化的方式展示当前的网络态势，利用态势预测算法对未来的态势进行预测。

图2 层次化网络安全态势评估模型

2.2 模块分析

下面分别对该模型的三个模块--要素提取、态势评估和态势预测进行分析，提出态势要素提取的方法，给出评估的步骤、方法和算法，分析态势的可视化展示方案和态势预测算法。

2.2.1 要素提取

全面而准确地提取网络安全态势要素是进行网络安全态势评估的重要基础和前提。网络安全态势要素主要包括静态的网络环境配置信息、动态的网络运行信息和网络流量信息等。

网络安全态势评估系统输入的数据来自多样化的数据源，通常具有不同的数据格式，因此需要对数据进行预处理和数据集成操作。具体来说，首先需要提取来自IDS、Firewall、Snort、Ntop、NetFlow等安全设备日志和扫描信息，以及实时报警、病毒日志、设备状态、用户上报信息等多源异类数据。在此基础上，对获取的海量数据进行预处理，主要包括数据分类、归并、去重和去噪等，并转换为便于处理的统一格式。

2.2.2 态势评估

(1) 评估步骤

态势评估是态势感知的核心，网络安全态势评估重点关注网络的机密性、完整性和可用性。在态势评估阶段，首先对获取的海量网络安全态势要素数据进行关联分析，然后分别对网络基础运行态势、威胁态势、脆弱性态势和风险态势进行专项态势评估，在此基础上采用基于指数对数的分析技术，合理分配各因素权重，最终形成网络安全的整体态势。

同时，借鉴陈秀真等提出的层次化网络安全威胁量化评估方法，采用自下而上，从局部到整体的层次化评估方法。合理确定服务重要性、主机重要性和网络带宽占有率等参数，自下而上分别从服务层、主机层和网络系统层进行态势评估，及时掌握网络安全的整体态势。

(2) 评估指标

全面、准确地选取网络安全态势的要素指标，建立科学、合理的网络安全态势评估指标体系是网络安全态势量化评估的重要基础。我们设计了由三级指标构成的层次化网络安全态势评估指标体系，如图3所示。该指标体系涵盖了反映网络安全态势的主要因素，整体上自上而下分别设计了网络安全态势评估综合指标一级指标，由网络基础运行指标、网络威胁指标和网络脆弱性指标等构成的二级指标，以及由网络流量、网络状态、病毒攻击、DDoS攻击、关键设备健康指数等构成的三级指标。

在网络安全态势的量化评估阶段，自下而上分别对各级指标进行标准化处理，科学合理确定各级指标的权重，在此基础上综合分析得到网络安全的整体态势。

(3) 评估等级

借鉴美国信息安全等级划分情况，将网络安全态势评估的等级分为“优、良、中、差、危”五个等级，分别用“绿、蓝、黄、橙、红”五种颜色表示，如表1所示。

(4) 评估方法

数据融合是网络安全态势感知的核心。目前用于网络安全态势评估的数据融合方法大致分为以下几种：①基于数学模型的评估方法。综合考虑影响网络安全态势的各种因素进行态势评估，构造态势评定函数，建立从态势要素集合到态势空间的映射关系。常见的有权重分析法、集对分析法等；②基于模式识别的评估方法。在机器学习的基础上建立态势评估模板，然后通过模式匹配完成态势评估。常见的有聚类分析和灰关联分析等方法；③基于知识推理的评估方法。在经验知识的基础上建立态势评估模型，运用逻辑推理完成态势评估。常见的有基于证据理论的概率推理、基于图模型的推理等方法。

表1 网络安全态势评估状况等级表

2.2.3 态势预测

(1) 态势展示

如何将态势评估的结果以可视化的形式直观地进行展示是网络安全态势感知的重要内容，通常以报表、拓扑、地理地图等形式展示。研究人员相继开发了多个网络安全态势可视化系统，其中AS网络图是由CAIDA研究小组开发的网络安全可视化工具，该工具能够直观展示网络中的链接状态，如图4所示。

图4 主干网络链接状态图

SIFT研究小组开发的VisFlowConnect工具能够在高速数据流环境下进行多尺度的数据展示，能够动态展示网络流量。而Stephen Lau开发的Spinning cube of potential doom工具能够进行三维网络流量检测，自动生成网络链接的三维空间状态图。

(2) 态势预测

网络安全态势预测能够为网络管理员合理制定网络安全防御方案提供决策支持。网络安全态势预测是根据网络安全的历史信息和当前状态，运用态势预测算法实现对未来的网络安全趋势的预测。态势预测方法主要有基于时间序列的预测、基于神经网络的预测、基于灰色理论的预测和支持向量机的预测等。

3 结束语

准确评估网络安全态势是实施网络安全主动防御的重要基础。针对网络安全中多源信息的特点，面向大规模网络安全需求，建立了基于信息融合的层次化网络安全态势评估模型。未来的努力方向将是对大规模网络安全事件要素的提取和实时关联分析，深入研究相应的评估和预测算法，提高态势评估的实时性和准确率。

[1] 龚正虎,卓莹.网络态势感知研究.软件学报.2010.

[2] 陈秀真,郑庆华.层次化网络安全威胁态势量化评估方法.软件学报.2006.

[3] 贾焰,王晓伟.YHSSAS：面向大规模网络的安全态势感知系统.计算机科学.2011.

[4] 韦勇,连一峰.基于信息融合的网络安全态势评估模型.计算机研究与发展.2009.

[5] 王慧强.网络安全态势感知研究新进展.大庆师范学院学报.2010.

[6] 谭小彬,张勇.基于多层次多角度分析的网络安全态势感知.信息网络安全.2008.

[7] 郑黎明,邹鹏.面向大规模网络的安全态势实时量化感知模型.计算机科学.2011.

[8] 张新刚,王燕.数字化校园主动安全防御体系分析.实验室研究与探索.2012.

[9] 龚正虎,卓莹.网络态势感知研究.软件学报.2010.

[10] 席荣荣,云晓春.网络安全态势感知研究综述.计算机应用.2012.

[11] 朱亮,王慧强.网络安全态势可视化研究评述.http：//www.paper.edu.cn.